Burp Suite是一款集成了多种功能的Web应用渗透测试工具，可以帮助渗透测试人员对Web应用进行拦截、分析、修改、重放、扫描、爆破、模糊测试等操作，从而发现和利用Web应用中的漏洞。可以说Burp Suite是每个安全从业人员必须学会使用的安全渗透测试工具。

1️⃣ 配置BurpSuite代理

首先在Kali中找到BurpSuite并打开，当然也可以在Windows下使用，这里我还是在Kali下使用。

此次使用的版本是BurpSuite Community Edition v2024.5.3版本。

社区版是不能保存项目的😂

打开后，选择**【Proxy】→【Proxy settings】**

Burp Suite的默认代理地址是127.0.0.1，默认端口是8080，可以根据需要手动修改。

点击**【Regenerate CA certificate】**生成证书：

重启BurpSuite，点击**【Intercapt】并点击【Open browser】**

此时我访问：https://www.baidu.com，就已经将流量拦截成功了，如下图所示：

如何转发流量：点击**【Forward】**就可以将流量正常转发了，如下图所示：

Drop：将请求流量丢弃。

Action：对该请求流量进行如暴力破解、重放、修改等操作。

2️⃣ 简单的使用

打开owaspbwa靶机

使用WebGoat靶场，密码是user/user

选择Improper Error Handling→Fail Open Authentication Scheme

随便输入用户名，但是不输入密码：

肯定会报错，如下图出现了：Invalid username and password entered

使用BurpSuite拦截

先打开Intercept，然后输入用户名，不输入密码：

此时BurpSuite已经成功拦截了登录的请求包。

由于在登录时只输入用户名，会显示用户名和密码无效。于是可以猜测在提交用户名和密码时，如果其中的一项发生错误，可能会构造出异常请求。

请求包的最下方也验证了这个想法

Username=admin&Password=&SUBMIT=Login

那么我们将Password删除再进行Forward，看是否可以成功绕过。

然后点击Forward，成功绕过：

至此，吾等已经初窥门径了，哈哈。当然，这只是BurpSuite的简单使用。